James Showalter describe un escena de pesadilla proporcionado específico, si no completamente inverosímil. Cierto conduce a su casa, rompe su contraseña de Wi-Fi y luego comienza a meterse con el inversor solar montado yuxtapuesto a su cochera, esa caja plomizo sin pretensiones que convierte la corriente continua de sus paneles en la torrado en la corriente alterna que alimenta su hogar.

“Debes tener un acosador solar” para que este escena se desarrolle, dice Showalter, describiendo el tipo de persona que necesitaría aparecer físicamente en tu camino de entrada con los conocimientos técnicos y la motivación para hackear tu sistema de energía doméstica.

Showalter, el CEO de EG4 Electrónicauna compañía con sede en Sulphur Springs, Texas, no considera que esta secuencia de eventos sea particularmente probable. Aún así, es por eso que su compañía la semana pasada se encontró en el centro de atención cuando la agencia de ciberseguridad estadounidense CISA Publicado un aviso Detallando vulnerabilidades de seguridad en los inversores solares de EG4. Las fallas, señaló CISA, podrían permitir que un atacante con entrada a la misma red que un inversor afectado y su número de serie para interceptar datos, instalar firmware ladino o disfrutar el control de todo el sistema.

Para los aproximadamente 55,000 clientes que poseen el maniquí de inversor afectado de EG4, el episodio probablemente se sintió como una preparación inquietante a un dispositivo que poco entienden. Lo que están aprendiendo es que los inversores solares modernos ya no son conversadores de energía simples. Ahora sirven como columna vertebral de las instalaciones de energía en el hogar, monitorear el rendimiento, comunicarse con compañías de servicios públicos y, cuando hay un exceso de energía, que lo vuelve a surtir a la red.

Gran parte de esto ha sucedido sin que la multitud se dé cuenta. “Nadie sabía qué demonios era un inversor solar hace cinco abriles”, observa Justin Pascale, un asesor principal de Dragos, una firma de ciberseguridad que se especializa en sistemas industriales. “Ahora estamos hablando de eso a nivel franquista e internacional”.

Deficiencias de seguridad y quejas de los clientes

Algunos de los números resaltan el jerarquía en que las casas individuales en los Estados Unidos se están convirtiendo en centrales eléctricas en miniatura. Según la Filial de Información Energética de los Estados Unidos, las instalaciones solares a pequeña escalera, principalmente residencial, crecieron más de cinco veces Entre 2014 y 2022. Lo que una vez fue la provincia de los defensores del clima y los primeros usuarios se volvieron más convencionales oportuno a la caída de los costos, los incentivos gubernamentales y una creciente conciencia del cambio climático.

Cada instalación solar agrega otro nodo a una red en expansión de dispositivos interconectados, cada uno que contribuye a la independencia de la energía, pero incluso se convierte en un posible punto de entrada para algún con intención maliciosa.

Cuando se presiona sobre los estándares de seguridad de su empresa, Showalter reconoce sus deficiencias, pero incluso se desvía. “Este no es un problema EG4”, dice. “Este es un problema en toda la industria”. Sobre una citación de teleobjetivo y más tarde, en la bandeja de entrada de este editor, produjo una Referencia de 14 páginas Catalogación 88 Divulgaciones de vulnerabilidad de energía solar en aplicaciones comerciales y residenciales desde 2019.

No todos sus clientes, algunos de los cuales Llevó a Reddit Para quejarse, son simpatizantes, particularmente cubo que el aviso de CISA reveló fallas de diseño fundamentales: comunicación entre aplicaciones de monitoreo e inversores que ocurrieron en texto sin formato no entrelazado, actualizaciones de firmware que carecían de verificaciones de integridad y procedimientos de autenticación rudimentarios.

“Estos fueron fallas de seguridad fundamentales”, dice un cliente de la compañía, quien pidió cuchichear de forma anónima. “Anexar insulto a la equimosis”, continúa este individuo, “EG4 ni siquiera se molestó en notificarme u ofrecer mitigaciones sugeridas”.

Cuando se le preguntó por qué EG4 no alertó a los clientes de inmediato cuando CISA contactó a la compañía, Showalter lo claridad un momento de “poblar y asimilar”.

“Adecuado a que estamos muy cerca (para invadir las preocupaciones de CISA) y es una relación tan positiva con CISA, íbamos a obtener al rama ‘Hecho’ y luego aconsejar a las personas, por lo que no estamos en medio del horno de pasteles”, dice Showalter.

TechCrunch contactó a CISA a principios de esta semana para obtener más información; La agencia no ha respondido. En su aviso sobre EG4, CISA afirma que “no se ha informado una explotación pública conocida específicamente a estas vulnerabilidades a CISA en este momento”.

Las conexiones con China Spark Spare Security Instals

Aunque no está relacionado, el momento de la crisis de relaciones públicas de EG4 coincide con ansiedades más amplias sobre la seguridad de la condena de suministro de los equipos de energía renovable.

A principios de este año, los funcionarios de energía estadounidense comenzaron a reevaluar los riesgos que plantean los dispositivos hechos en China luego de descubrir equipos de comunicación inexplicables adentro de algunos inversores y baterías. Según una investigación de Reutersse encontraron radios celulares indocumentados y otros dispositivos de comunicación en equipos de múltiples proveedores chinos, componentes que no habían aparecido en las listas oficiales de hardware.

Este descubrimiento informado tiene un peso particular cubo el dominio de China en la fabricación solar. Esa misma historia de Reuters señaló que Huawei es el proveedor de inversores más magnate del mundo, que representa el 29% de los envíos a nivel mundial en 2022, seguido por los compañeros chinos Sungrow y Ginlong Solis. Alguno 200 GW de capacidad de energía solar europea está vinculado a los inversores realizados en China, que es aproximadamente equivalente a más de 200 centrales nucleares.

Las implicaciones geopolíticas no han escapado de aviso. Lituania el año pasado admitido una ley Bloqueando el entrada remoto chino a las instalaciones de energía solar, eólica y de baterías por encima de 100 kilovatios, restringiendo efectivamente el uso de inversores chinos. Showalter dice que su compañía está respondiendo a las preocupaciones de los clientes al comenzar de guisa similar a alejarse de los proveedores chinos y en torno a los componentes hechos por las empresas en otros lugares, incluso en Alemania.

Pero las vulnerabilidades CISA describieron en los sistemas de EG4 plantean preguntas que se extienden más allá de las prácticas de una sola empresa o cuando obtiene sus componentes. La agencia de estándares de los Estados Unidos NIST advertencia que “si controlas remotamente un número lo suficientemente magnate de inversores solares en el hogar, y haces poco nefasto a la vez, eso podría tener implicaciones catastróficas en la red durante un período de tiempo prolongado”.

La buena aviso (si hay alguna), es que, si acertadamente es teóricamente posible, este escena enfrenta muchas limitaciones prácticas.

Pascale, que trabaja con instalaciones solares a escalera de servicios públicos, señala que los inversores residenciales sirven principalmente dos funciones: convertir la energía de la corriente directa a la corriente alterna y entregar la conexión de regreso a la cuadrícula. Un ataque masivo requeriría comprometer un gran número de casas individuales simultáneamente. (Tales ataques no son imposibles, pero es más probable que impliquen atacar a los propios fabricantes, algunos de los cuales tienen entrada remoto a los inversores solares de sus clientes, al igual que evidenciado por investigadores de seguridad el año pasado.)

El ámbito regulatorio que rige instalaciones más grandes no se extiende en este momento a los sistemas residenciales. Estándares de protección de infraestructura crítica de la Corporación de Confiabilidad Eléctrica de América del Boreal Aplicar actualmente Solo a las instalaciones más grandes que producen 75 megavatios o más, como las granjas solares.

Adecuado a que las instalaciones residenciales caen muy por debajo de estos umbrales, operan en una zona plomizo regulatoria donde los estándares de ciberseguridad siguen siendo sugerencias en área de requisitos.

Pero el resultado final es que la seguridad de miles de pequeñas instalaciones depende en gran medida de la discreción de los fabricantes individuales que operan en un vano regulatorio.

Sobre el tema de la transmisión de datos no secreto, por ejemplo, que es una razón por la que EG4 recibió que la abofetea de CISA, Pascale señala que en entornos operativos a escalera de utilidad, la transmisión de texto plano es popular y, a veces, se fomenta para fines de monitoreo de red.

“Cuando miras el secreto en un entorno empresarial, no está permitido”, explica. “Pero cuando miras un entorno operante, la mayoría de las cosas se transmiten en texto plano”.

Dicho de otra guisa, la verdadera preocupación no es una amenaza inmediata para los propietarios individuales. En cambio, se vincula con la vulnerabilidad agregada de una red en rápida expansión. A medida que la cuadrícula de energía se distribuye cada vez más, con energía que fluye de millones de pequeñas fuentes en área de docenas de grandes, la superficie de ataque se expande exponencialmente. Cada inversor representa un punto de presión potencial en un sistema que nunca fue diseñado para acomodar este nivel de complejidad.

Showalter ha recogido la intervención de CISA como lo que él claridad una “modernización de confianza”, una oportunidad para diferenciar a su empresa en un mercado saciado de multitud. Él dice que desde junio, EG4 ha trabajado con la agencia para invadir las vulnerabilidades identificadas, reduciendo una relación auténtico de 10 inquietudes a tres utensilios restantes que la compañía calma resolver en octubre. El proceso ha implicado desempolvar los protocolos de transmisión de firmware, implementar una comprobación de identidad adicional para llamadas de soporte técnico y rediseñar los procedimientos de autenticación.

Pero para aquellos como el cliente ignorado de EG4 que habló con la frustración sobre la respuesta de la compañía, el episodio destaca la extraña posición en la que se encuentran los adoptantes solares. Compraron lo que entendieron que era una tecnología abierto con el clima, solo para descubrir que se convertirían en participantes involuntarios en un panorama cibernético rugoso que pocos parecen comprender completamente.